Μια πρόσφατη μελέτη δείχνει πώς είναι δυνατός ο εντοπισμός συνδέσεων που χρησιμοποιούν OpenVPN

Darkcrizt

4 λεπτά

Δακτυλικά αποτυπώματα VPN

Μέθοδος ανίχνευσης περιόδου λειτουργίας OpenVPN

Στα άρθρα για την ασφάλεια και τα τρωτά σημεία που έχω μοιραστεί εδώ στο ιστολόγιο, συνήθως αναφέρουν ότι κανένα σύστημα, υλικό ή εφαρμογή δεν είναι ασφαλές, αφού όσο κι αν ισχυρίζεται ότι είναι 100% αξιόπιστο, τα νέα σχετικά με τις ευπάθειες που εντοπίστηκαν μας έχουν δείξει το αντίθετο. .

Ο λόγος που το αναφέρουμε είναι ότι πρόσφατα α ομάδα ερευνητών από το Πανεπιστήμιο του Μίσιγκαν διεξήγαγε μια μελέτη για τον εντοπισμό συνδέσεων VPN που βασίζονται σε OpenVPN, το οποίο μας δείχνει ότι η χρήση VPN δεν διασφαλίζει ότι η παρουσία μας στο δίκτυο είναι ασφαλής.

Η μέθοδος που χρησιμοποιούν οι ερευνητές ονομάζεται «Δακτυλικά αποτυπώματα VPN», τα οποία παρακολουθούν τη διαμετακομιστική κυκλοφορία και στη μελέτη που πραγματοποιήθηκε Ανακαλύφθηκαν τρεις αποτελεσματικές μέθοδοι για την αναγνώριση του πρωτοκόλλου OpenVPN μεταξύ άλλων πακέτων δικτύου, τα οποία μπορούν να χρησιμοποιηθούν σε συστήματα επιθεώρησης κυκλοφορίας για τον αποκλεισμό εικονικών δικτύων που χρησιμοποιούν OpenVPN.

Στις δοκιμές που πραγματοποιήθηκαν στο δίκτυο του παρόχου Διαδικτύου Merit, που έχει περισσότερους από ένα εκατομμύριο χρήστες, το έδειξε αυτό Αυτές οι μέθοδοι θα μπορούσαν να αναγνωρίσουν το 85% των συνεδριών OpenVPN με χαμηλό επίπεδο ψευδώς θετικών αποτελεσμάτων. Για τη διεξαγωγή των δοκιμών χρησιμοποιήθηκε ένα σύνολο εργαλείων που ανίχνευαν την κίνηση OpenVPN σε πραγματικό χρόνο σε παθητική λειτουργία και στη συνέχεια επαλήθευαν την ακρίβεια του αποτελέσματος μέσω ενεργού ελέγχου με τον διακομιστή. Κατά τη διάρκεια του πειράματος, ο αναλυτής που δημιουργήθηκε από τους ερευνητές χειρίστηκε μια ροή κυκλοφορίας με ένταση περίπου 20 Gbps.

Οι μέθοδοι αναγνώρισης που χρησιμοποιούνται βασίζονται στην παρατήρηση μοτίβων ειδικά για το OpenVPN σε μη κρυπτογραφημένες κεφαλίδες πακέτων, μεγέθη πακέτων ACK και αποκρίσεις διακομιστή.

  • Στην Στην πρώτη περίπτωση, συνδέεται με ένα μοτίβο στο πεδίο "κωδικός λειτουργίας".» στην κεφαλίδα του πακέτου κατά το στάδιο της διαπραγμάτευσης σύνδεσης, η οποία αλλάζει προβλέψιμα ανάλογα με τη διαμόρφωση της σύνδεσης. Η αναγνώριση επιτυγχάνεται με τον εντοπισμό μιας συγκεκριμένης ακολουθίας αλλαγών του κωδικού λειτουργίας στα πρώτα λίγα πακέτα της ροής δεδομένων.
  • Η δεύτερη μέθοδος βασίζεται στο συγκεκριμένο μέγεθος των πακέτων ACK χρησιμοποιείται στο OpenVPN κατά το στάδιο της διαπραγμάτευσης σύνδεσης. Η αναγνώριση γίνεται αναγνωρίζοντας ότι τα πακέτα ACK ενός δεδομένου μεγέθους εμφανίζονται μόνο σε ορισμένα μέρη της συνεδρίας, όπως κατά την εκκίνηση μιας σύνδεσης OpenVPN όπου το πρώτο πακέτο ACK είναι συνήθως το τρίτο πακέτο δεδομένων που αποστέλλεται στη συνεδρία.
  • El Η τρίτη μέθοδος περιλαμβάνει ενεργό έλεγχο ζητώντας επαναφορά σύνδεσης, όπου ο διακομιστής OpenVPN στέλνει ένα συγκεκριμένο πακέτο RST ως απόκριση. Είναι σημαντικό ότι αυτός ο έλεγχος δεν λειτουργεί όταν χρησιμοποιείτε τη λειτουργία tls-auth, καθώς ο διακομιστής OpenVPN αγνοεί αιτήματα από πελάτες χωρίς έλεγχο ταυτότητας μέσω TLS.

Τα αποτελέσματα της μελέτης έδειξαν ότι ο αναλυτής μπόρεσε να αναγνωρίσει με επιτυχία 1.718 από τις 2.000 δοκιμαστικές συνδέσεις OpenVPN που δημιουργήθηκαν από έναν δόλιο πελάτη χρησιμοποιώντας 40 διαφορετικές τυπικές διαμορφώσεις OpenVPN. Η μέθοδος λειτούργησε με επιτυχία για 39 από τις 40 διαμορφώσεις που δοκιμάστηκαν. Επιπλέον, κατά τη διάρκεια των οκτώ ημερών του πειράματος, εντοπίστηκαν συνολικά 3.638 περίοδοι σύνδεσης OpenVPN στη συγκοινωνία, εκ των οποίων οι 3.245 επιβεβαιώθηκαν ως έγκυρες.

Είναι σημαντικό να σημειωθεί ότι Η προτεινόμενη μέθοδος έχει ένα ανώτερο όριο ψευδώς θετικών τρεις τάξεις μεγέθους μικρότερες από προηγούμενες μεθόδους που βασίζονται στη χρήση μηχανικής μάθησης. Αυτό υποδηλώνει ότι οι μέθοδοι που αναπτύχθηκαν από ερευνητές του Πανεπιστημίου του Μίσιγκαν είναι πιο ακριβείς και αποτελεσματικές στον εντοπισμό των συνδέσεων OpenVPN στην κίνηση του δικτύου.

Η απόδοση των μεθόδων προστασίας sniffing κίνησης OpenVPN σε εμπορικές υπηρεσίες αξιολογήθηκε μέσω ξεχωριστών δοκιμών. Από τις 41 υπηρεσίες VPN που δοκιμάστηκαν και χρησιμοποιούσαν μεθόδους απόκρυψης κίνησης OpenVPN, η επισκεψιμότητα εντοπίστηκε σε 34 περιπτώσεις. Οι υπηρεσίες που δεν ήταν δυνατό να εντοπιστούν χρησιμοποίησαν πρόσθετα επίπεδα πάνω από το OpenVPN για απόκρυψη της κυκλοφορίας, όπως η προώθηση της κίνησης OpenVPN μέσω μιας πρόσθετης κρυπτογραφημένης σήραγγας. Οι περισσότερες από τις υπηρεσίες που εντόπισαν επιτυχώς χρησιμοποιούσαν παραμόρφωση κυκλοφορίας XOR, πρόσθετα επίπεδα συσκότισης χωρίς επαρκή τυχαία επικάλυψη κυκλοφορίας ή παρουσία μη ασαφών υπηρεσιών OpenVPN στον ίδιο διακομιστή.

Εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.